5、可验证加密签名的安全性与高效实例

可验证加密签名的安全性与高效实例

1. 可验证加密签名的滥用抗性

在可验证加密签名的安全性研究中，滥用抗性是一个重要的特性。存在这样一种情况，对手 A 获得裁决密钥对 (ask, apk) 和公钥 pk 后，选择两条消息 m1 和 m2。对手 A 调用创建预言机 C 对 m1 进行操作，得到 (ω′, a)，然后通过解密提取出私钥 sk ← Dec(skE, a)，并使用该私钥伪造出 ω∗ ← Create(sk, apk, m2)。经过简单分析可知，对手 A 能够高效且总是成功地完成这一过程。

不过，对于任何密钥无关、可提取的可验证加密签名方案，若底层签名方案 DSig 不可伪造，那么该方案是滥用免费的。下面给出证明：
假设存在一个对手 A 以显著概率成功破坏滥用免费性，我们可以利用 A 来伪造 DSig 中的普通签名。针对 DSig 不可伪造性的归约 B 接收公钥 spk，生成 (ask, apk) ← AdjKg(1n) 和 (sk, pk) ← Kg(1n)，将 pk 中 DSig 的公共签名验证密钥替换为 spk 得到 pk′，并将 A(apk, ask, pk′) 作为黑盒运行。每当 A 向 C 查询 m 时，B 调用其签名预言机 σ ← Sign(sk, m) 并计算 ω ← KI - Enc(apk, kipk, kisk, σ, m)。最后，A 停止并输出 (m∗, ω∗)，B 提取相应的签名 σ∗ ← Adj(ask, apk, pk′, ω∗, m∗) 并返回 (m∗, σ∗)。假设 A 以显著概率 ϵ(n) 成功，那么 A 未向 C 查询过 m∗，由于 VES 是密钥无关的，B 的攻击是合法的且能完美模拟 A 的环境。此外，B 是高效的，且由于 VES 是可提取的，